Zgłoś błąd
X
Zanim wyślesz zgłoszenie, upewnij się że przyczyną problemów nie jest dodatek blokujący reklamy.
Błędy w spisie treści artykułu zgłaszaj jako "błąd w TREŚCI".
Typ zgłoszenia
Treść zgłoszenia
Twój email (opcjonalnie)
Nie wypełniaj tego pola
.
Załóż konto
EnglishDeutschукраїнськийFrançaisEspañol中国

TrueCrypt - Audyt programu po aferze NSA został zakończony

Morfeusz888 | 03-04-2015 15:37 |

TruecryptProgram TrueCrypt to obowiązkowa aplikacja dla osób, które chcą przechowywać swoje dane w bezpiecznych, zaszyfrowanych kontenerach. Praktycznie, nie można się do nich dostać bez wprowadzenia odpowiednich danych weryfikacyjnych. Swego czasu wspomniana aplikacja była bardzo często używana i pomimo otwartości kodu źródłowego tak naprawdę mało osób wiedziało o jej mechanizmie działania. W 2013 roku padł zatem pomysł, aby wykonać audyt kodu źródłowego – związku z aferą związaną z NSA ten pomysł był bardzo trafiony, ponieważ nikt nie wiedział, czy czasami agencja wywiadowcza nie umieściła żadnego haczyka również w tym popularnym programie.

W międzyczasie wiele osób przeżyło szok – w dniu premiery najnowszej wersji TrueCrypta oznaczonej numerem 7.2 na oficjalnej stronie pojawiała się informacja, że program nie jest bezpieczny i nie jest zalecane korzystanie z najnowszej wersji, w zamian proponowane jest użycie alternatywnych rozwiązań takich jak np. wbudowany w system Windows BitLocker. Do tej pory nie wiadomo co dokładnie stało się z najnowszą wersją, co dzieje się z twórcami tego programu oraz kto zamieścił tego typu informację na głównej stronie programu.

Osoby korzystające z tego programu z pewnością niecierpliwie oczekiwały wyników audytu.

W między czasie trwał audyt starszej wersji oznaczonej numerem 7.1a, który ostatecznie utwierdza nas w przekonaniu, że oprogramowanie jest dosyć bezpieczne i nie zawiera żadnych tylnych furtek. Warto zaznaczyć, że audyt był podzielony na dwie części i pierwsza z nich również nie wykazała rażących luk w zabezpieczeniach. Aktualnie TrueCryprt 7.1a posiada dwa błędy – pierwszy z nich może doprowadzić do wygenerowania słabo losowego klucza, kiedy program nie ma dostępu do funkcji CryptAcquireContext znajdującej się w systemie Windows. W takiej sytuacji aplikacja powinna poinformować użytkownika o błędzie, jednak tego nie robi. Drugi problem związany jest atakiem typu cache-timing, lecz w związku z tym, iż te luki są ciężkie do wykorzystania program można uznać za dość bezpieczny i można przy jego pomocy (oczywiście mowa tutaj o wersji 7.1a) szyfrować ważne dane.

Źródło: Cryptographic Engineering

Bądź na bieżąco - obserwuj PurePC.pl na Google News
Zgłoś błąd
Liczba komentarzy: 3

Komentarze:

x Wydawca serwisu PurePC.pl informuje, że na swoich stronach www stosuje pliki cookies (tzw. ciasteczka). Kliknij zgadzam się, aby ta informacja nie pojawiała się więcej. Kliknij polityka cookies, aby dowiedzieć się więcej, w tym jak zarządzać plikami cookies za pośrednictwem swojej przeglądarki.